Differences

This shows you the differences between two versions of the page.

--- informatique:cisco:ipsec [2009/07/12 21:03] – Redondance / Failover pteu
+++ informatique:cisco:ipsec [2013/10/14 20:44] (current) – external edit 127.0.0.1
@@ Line 19: / Line 19: @@
 **Internet Key Exchange** permet la négociation des paramètres de sécurité et l'établissement des clés authentifiées ; il utilise udp/500.
     * **ISAKMP** : protocole de négociation d'une politique de sécurité ainsi que d'échange de clés
-    * **Oakley** : protocole d'échange de clés (Diffie-Hellman)
+    * **Oakley** : protocole d'échange de clés
     * **Skeme** : protocole d'échange de clés
@@ Line 34: / Line 34: @@
     * établissement d'une IPsec SA, protégée par la précédente SA de la phase 1
     * périodiquement renégocie la SA ; renouvellement de la clé partagée
-Il n'existe qu'un seul mode : le **quick mode**.
+Il n'existe qu'un seul mode pour la phase 2 : le **quick mode**.
-Lors de la négociation, le paire qui initie l'IKE envoie ses paramètres de sécurité et la machine d'en face doit chercher un matche parmi les siens. Il choisi par ordre de priorité les paramètres communs pour le chiffrement, le hash, authentification et les paramètres DH.
+Lors de la négociation, le peer qui initie l'IKE envoie ses paramètres de sécurité et la machine d'en face doit chercher un matche parmi les siens. Il choisit par ordre de priorité les paramètres communs pour le chiffrement, le hash, l'authentification et les paramètres DH.
-  * **Diffie-Hellman** : protocole qui permet à 2 paires de générer une clé partagée au travers d'un lien non sécurisé. Il ne permet pas de vérifier l'identité de chaque paire, donc il est vulnérable à une attaque de type //man-in-the-middle//.
+  * **Diffie-Hellman** : protocole de génération de clé partagée. Il ne permet pas de vérifier l'identité de chaque paire, donc il est vulnérable à une attaque de type [[http://fr.wikipedia.org/wiki/Man-in-the-middle|man-in-the-middle]].
   * **ESP** (Encapsulating Security Payload) permet le chiffrement, l'authentification et l'intégrité des données ; IP proto n°50
@@ Line 57: / Line 57: @@
 Une SA est une compilation des données de ces 2 databases.
-  * **RRI** (Reverse Route Injection) : une route statique est créé sur le serveur Cisco Easy VPN pour l'IP interne de chaque client VPN. Cela permet de les injection ensuite dans l'IGP.
+  * **RRI** (Reverse Route Injection) : une route statique est créé sur le serveur Cisco Easy VPN pour l'IP interne de chaque client VPN. Cela permet de les injecter ensuite dans l'IGP.
-Méthodes d'authentification :
+**Méthodes d'authentification** :
   * couple nom d'utilisateur/mot de passe
   * OTP (One Time Password)
@@ Line 66: / Line 66: @@
   * certificats numériques
-Algorithmes de chiffrements symétriques : on utilise la même clé pour chiffrer et déchiffrer
+**Algorithmes de chiffrements symétriques** : on utilise la même clé pour chiffrer et déchiffrer
-  * DES (Data Encryption Standard) ; dépassé actuellement
+  * DES (Data Encryption Standard) ; vulnérable car basé sur des clés de 56 bits
-  * 3DES
+  * 3DES (3 chiffrements DES à la suite)
-  * AES (Advanced Encryption Standard)
+  * AES (Advanced Encryption Standard) ; clés de 128, 192 ou 256 bits
-Algorithmes de chiffrement asymétriques : paire de clés publique et privée
-  * RSA
-Méthodes de hashage :
+**Algorithmes de chiffrement asymétriques** : paire de clés publique et privée
+  * RSA (Rivest Shamir Adleman) ; on peut utiliser différentes longueurs de clés ; il est recommandé aujourd'hui d'utiliser des clés de 1024, 2048 ou 4096 bit (parano)
+**Méthodes de hashage** :
   * HMAC (Hash-based Message Encryption Code)
   * MD5 (Message Digest 5)
@@ Line 81: / Line 82: @@
 ====PKI====
-PKI (Public Key Infrastructure) est un sytème servant à authentifier une clé publique d'une entité. Elle repose sur une relation de confiance entre une autorité de certification (**CA** pour Certificate Authority) et la personne qui cherche l'authenticité d'une clé publique.
+**PKI** (Public Key Infrastructure) est un système servant à authentifier une clé publique d'une entité. Elle repose sur une relation de confiance entre une autorité de certification (**CA** pour //Certificate Authority//) et la personne qui cherche l'authenticité d'une clé publique.
 ====NAT Traversal====
-IPSec est un protocole qui se base sur les adresses IPs de bout en bout ; il ne fonctionne dons pas si l'on modifi ces IPs. C'est le cas quand fait du NAT/PAT par exemple.
+IPSec est un protocole qui se base sur les adresses IPs de bout en bout ; il ne fonctionne donc pas si l'on modifie ces IPs. C'est le cas quand fait du NAT/PAT par exemple.
-Le NAT Traversal est un mécanisme d'encapsulation d'IPSec dans un datagramme udp/4500 (par défaut). C'est une bidouille qui permet à l'IPSec de traverser les équipements qui font du NAT, mais augmente de ce fait l'overhead des paquets.
+Le **NAT Traversal** est un mécanisme d'encapsulation d'IPSec dans un datagramme udp/4500 (par défaut). C'est une bidouille qui permet à l'IPSec de traverser les équipements qui font du NAT, mais augmente de ce fait l'overhead des paquets.
@@ Line 96: / Line 97: @@
 ====Définition de la policy ISAKMP====
-On y défini le type d'authentification, l'algorithme de hash, l'algorithme de chiffrement et le groupe Diffie-Hellman.
+(Phase 1)
-  crypto isakmp policy 1
+Les politiques ISAKMP sont définies globalement et donc utilisables par tous les tunnels configurés sur le routeur. Leur utilisation se fait séquentiellement, par ordre croissant, en fonction de leur priorité ("1" dans l'exemple qui suit). Dès qu'une politique matche celle du peer, c'est elle qui est utilisée.
-   authentication pre-shared
-   hash sha
-   encryption aes 128
-   group 2
-Puis on indique la clé partagée avec l'adresse du bout du tunnel.
+On y définit le type d'authentification, l'algorithme de hashage, l'algorithme de chiffrement et le groupe Diffie-Hellman.
-  crypto isakmp key LaCleSecrete address 172.16.171.2 netmask 255.255.255.255
-====Définition de la crypto map====
+<code bash>
+crypto isakmp policy 1
+ authentication pre-shared
+ hash sha
+ encryption aes 128
+ group 2
+</code>
-L'access liste permet de spécifier quel trafic envoyer dans le tunnel.
+Puis on indique la clé partagée ainsi que l'adresse du bout du tunnel (IP du peer).
+<code bash>
+crypto isakmp key LaCleSecrete address 172.16.171.2
+</code>
-  crypto ipsec transform-set Aes_sha
+====Définition de la crypto map====
-   esp-aes 128 esp-sha-hmac
+Définition du ''transform-set'' qui spécifie la politique de sécurité d'IPsec (algorithme de chiffrement + d'authentification + autres paramètres facultatifs) :
+<code bash>
+crypto ipsec transform-set TS-aes_sha
+ esp-aes 128 esp-sha-hmac
+ !
+ ! paramètre facultatifs
+ mode transport
+</code>
-  access-list 101 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
+Définition de la crypto map = associer un transform-set à un peer et à une ACL (cf plus bas) :
-  crypto map VPN_To_R2 10 ipsec-isakmp
+<code bash>
-   set peer 172.16.171.2
+crypto map VPN_To_R2 10 ipsec-isakmp
-   match address 101
+ set peer 172.16.171.2
-   set transform-set Aes_sha
+ match address 101
+ set transform-set TS-aes_sha
+ set pfs group2
+</code>
+Définition de l'access-list qui spécifie quel trafic sera envoyé dans le tunnel (= domaine de chiffrement).
+<code bash>
+access-list 101 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255
+</code>
-====Appliquer la configuration sur une interface====
+====Appliquer la crypto map sur une interface====
-  interface se0/0
+<code bash>
-   ip address 172.16.171.1 255.255.255.0
+interface se0/0
-   crypto map VPN_To_R2
+ ip address 172.16.171.1 255.255.255.0
+ crypto map VPN_To_R2
+</code>
@@ Line 175: / Line 198: @@
 ====DPD + IPsec Backup peer====
-  * **DPD** (Dead Peer Detection) est un mécanisme natif d'IKE qui permet de détecter un problème sur le tunnel IPsec. Le DPD **on-demand** permet de ne vérifier que le peer est up que lorsque le routeur a du trafic à envoyer vers lui, ce qui réduit sa charge CPU.
+  * **DPD** (Dead Peer Detection) est un mécanisme natif d'IKE qui permet de détecter un problème sur le tunnel IPsec ; il est désactivé par défaut. Le DPD **on-demand** permet de ne vérifier que le peer est up que lorsque le routeur a du trafic à envoyer vers lui, ce qui réduit sa charge CPU.
   * **Cisco IOS Keepalive Feature** est un mécanisme similaire au DPD mais propriétaire Cisco.
   * L'IGP qui tournent sur un tunnel GRE over IPsec permet de détecter si le peer/neighbor tombe grâce aux "HELLO" du protocole de routage.
@@ Line 181: / Line 204: @@
 On configure le DPD avec la commande suivante : ''**crypto isakmp keepalive** //seconds// [//retries//] [**periodic** | **on-demand**]''
-Les secondes vont de 10 à 3600 et indique l'intervalle d'envoi des keepalive ; les retries, en secondes aussi, définissent le temps entre 2 tentatives si la précédete à échoué (par défaut 2 secondes). periodic et on-demand (par défaut) définissent le comportement des keepalive : périodiques (régulièrement toutes les x secondes) ou en fonction du trafic émis (s'il n'y a pas de trafic, pas d'envoi de keepalive).
+Les secondes vont de 10 à 3600 et indique l'intervalle d'envoi des keepalive ; les retries, en secondes aussi, définissent le temps entre 2 tentatives si la précédente à échoué (par défaut 2 secondes). periodic et on-demand (par défaut) définissent le comportement des keepalive : périodiques (régulièrement toutes les x secondes) ou en fonction du trafic émis (s'il n'y a pas de trafic, pas d'envoi de keepalive).
-Quand le DPD détecte le peer down, s'il a un second peer déclaré dans la crypto map il renégocie un tunnel avec ce dernier :
+Quand le DPD détecte le peer IKE down, il va supprimer les SA IKE et IPSec de ce peer. S'il a un second peer déclaré dans la crypto map, il renégocie un tunnel avec ce dernier :
   crypto isakmp keepalive 10 3
@@ Line 191: / Line 214: @@
    set peer 10.0.1.1
-Le DPD envoie des keepalive toutes les 10 secondes avec 3 //retries//.
+Le DPD est configuré pour envoyer des keepalive toutes les 10 secondes avec 3 //retries//. Pour vérifier que le DPD est activé (dans cet exemple là ce n'est pas le cas) :
+<code>
+debug crypto isakmp
+[...]
+Jan 21 08:16:25: dpd enable: 0000, dpd periodic enable : 0000
+</code>
+Liens :
+  * [[http://www.cisco.com/en/US/docs/ios/sec_secure_connectivity/configuration/guide/sec_ipsec_dead_peer.html|IPsec Dead Peer Detection Periodic Message Option]] sur cisco.com
 ====HSRP et RRI====
@@ Line 244: / Line 275: @@
      remote-ip 10.1.1.2
+====Accélération matérielle====
+Sur certains châssis on peut utiliser des modules d'accélération hardware ; c'est le cas des cartes AIM sur les châssis 3825 ou des carte SPA pour les châssis 650X. Dans ce dernier exemple si on utilise des tunnels GRE + IPsec il peut être intéressant dans certains cas de forcer la prise en charge des tunnels GRE chiffrés par la carte supervisor :
+<code bash>
+! prise en charge de la crypto par la carte SPA
+crypto engine gre vpnblade
+!
+! prise en charge par la carte supervisor
+crypto engine gre supervisor
+</code>
 =====Vérifs=====
@@ Line 253: / Line 295: @@
   show crypto engine connection active
-====Etat des tunnels====
+====État des tunnels====
-  sh crypto session
+<code bash>
-  Crypto session current status
+show crypto session
+Crypto session current status
-  Interface: Vlan80
-  Session status: UP-ACTIVE
+Interface: Vlan80
-  Peer: 192.168.0.78/500
+Session status: UP-ACTIVE
-    IKE SA: local 192.168.0.75/500 remote 192.168.0.78/500 Active
+Peer: 192.168.0.78/500
-    IPSEC FLOW: permit 47 host 192.168.0.75 host 192.168.0.78
+  IKE SA: local 192.168.0.75/500 remote 192.168.0.78/500 Active
-          Active SAs: 2, origin: crypto map
+  IPSEC FLOW: permit 47 host 192.168.0.75 host 192.168.0.78
+        Active SAs: 2, origin: crypto map
+</code>
+Session status (source : [[http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gt_ipsvm.html#wp1042935|IP Security VPN Monitoring]]) :
+^Tunnel Status   ^IKE SA         ^IPSec SA^
+|UP-ACTIVE       |Exist, active  |Exist (flow exists)|
+|UP-IDLE         |Exist, active  |None (flow exists)|
+|UP-IDLE         |Exist, active  |None (no flow)|
+|UP-NO-IKE       |Exist, inactive|Exist (flow exists)|
+|UP-NO-IKE       |None           |Exist (flow exists)|
+|DOWN-NEGOTIATING|Exist, inactive|None (flow exists)|
+|DOWN-NEGOTIATING|Exist, inactive|None (no flow)|
+|DOWN            |None           |None (flow exists)|
+|DOWN            |None           |None (no flow)|
+Plus de détails : on précise l'adresse ip du peer pour n'afficher que son tunnel ; on récupère avec cette commande le mode IPSec (tunnel ou transport), les compteurs in/out, les SAs, etc.
+<code bash>
+Router1#show crypto ipsec sa peer 10.1.1.1
+interface: Vlan2784
+    Crypto map tag: cm100, local addr 10.0.0.1
+   protected vrf: (none)
+   local  ident (addr/mask/prot/port): (10.0.0.1/255.255.255.255/47/0)
+   remote ident (addr/mask/prot/port): (10.1.1.1/255.255.255.255/47/0)
+   current_peer 10.1.1.1 port 500
+     PERMIT, flags={origin_is_acl,}
+    #pkts encaps: 2949679701, #pkts encrypt: 2949679701, #pkts digest: 2949679701
+    #pkts decaps: 1599171374, #pkts decrypt: 1599171374, #pkts verify: 1599171374
+    #pkts compressed: 0, #pkts decompressed: 0
+    #pkts not compressed: 0, #pkts compr. failed: 0
+    #pkts not decompressed: 0, #pkts decompress failed: 0
+    #send errors 0, #recv errors 0
+     local crypto endpt.: 10.0.0.1, remote crypto endpt.: 10.1.1.1
+     path mtu 1500, ip mtu 1500
+     current outbound spi: 0xDA4B403D(3662364733)
+     PFS (Y/N): Y, DH group: group5
+     inbound esp sas:
+      spi: 0x3988518B(965235083)
+        transform: esp-3des esp-sha-hmac ,
+        in use settings ={Tunnel, }
+        conn id: 8079, flow_id: :6079, sibling flags 80000240,  crypto map: cm100
+        sa timing: remaining key lifetime (k/sec): (911080/3215)
+        IV size: 8 bytes
+        replay detection support: N
+        Status: ACTIVE
+     inbound ah sas:
+     inbound pcp sas:
+     outbound esp sas:
+      spi: 0xDA4B403D(3662364733)
+        transform: esp-3des esp-sha-hmac ,
+        in use settings ={Tunnel, }
+        conn id: 8080, flow_id: :6080, sibling flags 80000240,  crypto map: cm100
+        sa timing: remaining key lifetime (k/sec): (3101942/3215)
+        IV size: 8 bytes
+        replay detection support: N
+        Status: ACTIVE
+     outbound ah sas:
+     outbound pcp sas:
+</code>
+Autres commandes, en vrac :
+<code bash>
+show crypto engine accel stat slot x/y detail et/ou
+show crypto ipsec sa
+!
+show crypto ace polo detail
+show int tunnel351 stats
+show crypto vlan
+show crypto engine accelerator statistic all
+show ip int tu351
+!
+clear crypto engine accelerator counter all
+clear crypto session local 10.4.101.97
+</code>
 ====Renégocier un tunnel spécifique====
@@ Line 285: / Line 410: @@
   * [[http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00800a43f6.shtml|Configuring a GRE Tunnel over IPSec with OSPF]] chez cisco
+  * [[http://www.hsc.fr/ressources/articles/ipsec-tech/index.html.fr|Présentation technique d'IPsec]]
+  * [[http://www.cisco.com/en/US/docs/ios/12_3t/secur/command/reference/sec_s2gt.html|Security Commands: show crypto isakmp key through subject-name]]
+En vrac, des liens destinés à comprendre et debugger l'IPSec :
+  * [[http://www.cisco.com/en/US/docs/ios/12_2t/12_2t13/feature/guide/ftprefrg.html|Pre-fragmentation For Ipsec VPNs]]
+  * [[http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gtIPSctm.html|IPSec Virtual Tunnel Interface]]
+  * [[http://www.cisco.com/en/US/docs/ios-xml/ios/sec_conn_dmvpn/configuration/xe-3s/Sharing_IPSec_with_Tunnel_Protection.html|Sharing IPSec with Tunnel Protection]]
+  * [[http://www.cisco.com/en/US/docs/interfaces_modules/shared_port_adapters/configuration/6500series/76ovwvpn.html|Overview of the IPsec VPN SPA]]
+  * [[http://www.cisco.com/en/US/tech/tk827/tk369/technologies_white_paper09186a00800d6979.shtml|Resolve IP Fragmentation, MTU, MSS, and PMTUD Issues with GRE and IPSEC]] (white paper)
+  * [[http://www.cisco.com/en/US/docs/interfaces_modules/shared_port_adapters/configuration/6500series/76cfvpnb.html|Configuring IPsec VPN Fragmentation and MTU]]
+  * [[http://www.cisco.com/en/US/docs/ios/12_2/security/command/reference/srfipsec.html|IPSec Network Security Commands]]